|
Probleme mit TR/Hijack.AE.2 Hallo zusammen, Antivir zeigt mir seit einer Woche an, ich hätte das Trojanische Pferd TR/Hijack.AE.2 ich habe es darauf hin in Quarantäne verschoben. Dannach brach mein PC allerdings völlig ein und ich konnte nur noch meinen Deskop-Hinterfrund sehen und sonst nix. Ein Kumpel von mir, der sich eig ganz gut mit solchen Sachen auskennt, aht mir dann geholfen und letztendlich hat er mir mein System auf einen Sicherungspunkt zurückgesetzt (sorry, wenn ich mich unverständlich ausdrücke, aber kenn mich nich wirklich gut aus). Zuvor haben etliche verschiedene Antivien Programme keinen Befall feststellen können, außer Spyware Doctor, den ich allerdings nur als Demoversion hatte und die Befälle nicht löschen konnte. Die ganze Sache sah auch erst gut aus, ich hatte wieder Zugriff auf alles, aber sobald ich den PC einschalte kommt wieder eine Antivir Meldung über den gleichen Trojaner. Wenn ich Antivir allerdings das System überprüfen lasse, zeigt es keine Funde an. Auf der jetzigen Meldung kann ich wählen zwischen 'In Quarantäne verschieben' 'Löschen' 'Umbenennen' 'Zugriff verweigern' und 'Ignorieren'. Beim ersten Auftreten vor einer Woche waren die Optionen 'Löschen' und 'Umbenennen' noch nicht vorhanden. Allerdings erscheint die Meldung alle paar Minuten bis Sekunden wieder, egal was ich damit mache. Weder Quarantäne noch Löschen helfen da was. Die Quelle wurde übrigens angegeben mit WINDOWS/system32/dicpsapi.dll Jetzt hab ich HijackThis mal suchen lassen und das ist das Protokoll: Vielen Dank schon mal für die Hilfe. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:51:13, on 15.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\COMODO\Firewall\cmdagent.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\COMODO\SafeSurf\cssurf.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\COMODO\Firewall\cfp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: TBSB04045 - {C6BFC16B-D6FF-47EB-B5D7-F91FB78F94CE} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Amazon Toolbar - {EEB30C11-DF11-46DF-B763-BAF798CA65F3} - C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe" O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Programme\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll C:\WINDOWS\system32\guard32.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe -- End of file - 10525 bytes |
Hallo und :hallo: mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Dann deaktiviere bitte den Teatimer von SpyBot S&D Zitat:
Deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software bitte das Programm AskBar. Lade bitte diese Datei C:\WINDOWS\System32\dicpsapi.dll hier Virustotal, hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung, bitte auch wenn nichts gefunden wurde. Führe Malwarebytes aus, lass alles gefundene löschen und poste anschließend bitte das Log hierher. MFG |
Hi, also danke schonmal. Hab das jetzt alles gemacht. Ich hab C:\WINDOWS\System32\dicpsapi.dll bei allen 3 von dir genannten Seiten hochgeladen. Bei VirScan konnte sie nicht geladen werden. Bei den anderen 2 kam das heraus: Virustotal: 0 bytes size received / Se ha recibido un archivo vacio Jotti: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Weiß nicht ob es was hilft, aber immer wenn ich einen Systemdurchlauf starte (egal mit welchem Programm) kommt eine neue Fund-Meldung. Und wenn eine Meldung während eines Suchlaufs erscheint, hält der Suchlauf an, bis ich gelöscht oder in Quarantäne verschoben hab. Der Malwarebytes Log lautet wie folgt: Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1399 Windows 5.1.2600 Service Pack 3 15.11.2008 14:32:45 mbam-log-2008-11-15 (14-32-45).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 64697 Laufzeit: 21 minute(s), 23 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 21 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{673a860d-47ec-48c8-a135-9373c88ad578} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{61bb3b9a-7c7b-405b-82ac-1547b88be9d0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f85c64ae-16b0-44c3-ba8b-ba0e08e54303} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c6bfc16b-d6ff-47eb-b5d7-f91fb78f94ce} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{eeb30c11-df11-46df-b763-baf798ca65f3} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\IEToolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar (Adware.DosPopToolbar) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.crc (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\amazon.dll (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\basis.xml (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\icons.bmp (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\info.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\uninstall.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\update.exe (Adware.DosPopToolbar) -> Quarantined and deleted successfully. C:\Programme\IEToolbar\Amazon Toolbar\version.txt (Adware.DosPopToolbar) -> Quarantined and deleted successfully. |
Hallo Zitat:
Killbox Installiere das Programm auf deinem Desktop -> http://download.bleepingcomputer.com/spyware/KillBox.exe]Pocket KILLBOX -Starte es mit Doppelklick -klick die Funktion -> "delete on reboot" http://virus-protect.org/artikel/bilder/killbox.png -kopiere diesen Dateipfad in das weiße Feld unter: Full Path Code: C:\WINDOWS\System32\dicpsapi.dll-nach dem Neustart diesen Ordner aufsuchen -> C:\!KillBox und die dort befindliche Datei bitte nochmal auswerten lassen. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Die Logs kannst du in Codetags posten (die Raute in der Antwortbox #) HTML-Code: [CODE]Logfiles hier zwischen[/CODE]MFG |
Ok. Killbox: Erledigt. Was meinst du mit nochmal auswerten? Habs mal mit Malewarebytes überprüft, wenn du das gemeint haben solltes (sorry): Code: Malwarebytes' Anti-Malware 1.30ComboFix: Code: ComboFix 08-11-13.01 - Chris 2008-11-15 16:13:25.1 - NTFSx86 |
Silentrunner: Code: "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ |
Filelist: Code: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist SystemCode: Datenträger in Laufwerk C: ist System |
Hallo Zitat:
Wie stehts mit dem Problem? Die Logs werde ich mir noch genauer ansehen (heute Nacht oder morgen) MFG |
Du verwirrst mich. Ich versteh Onleinauswertung genausowenig wie das andere. Mit was für nem Programm denn? Also Antivir hat den Trojaner auch weiterhin angezeigt, wenn auch nich mehr so oft. Keine Ahnung ob das jetzt ne gute Nachricht ist. |
Hallo Zitat:
Zitat:
Bei der Gelegenheit werte bitte diese Dateien mit aus (müssten gesucht werden) GP5.EXE INS2D4.TMP Zitat:
Habt ihr Antivir von der Herstellerseite runtergeladen? MFG |
Hallo, ok jetzt hab ichs auch verstanden. Das hier kam raus bei der Killbox Datei: http://www.virustotal.com/de/analisi...dfc54ef116923e http://www.virscan.org/report/245a6f...67d79f03b.html Die anderen 2 Dateine GP5.EXE und INS2D4.TMP find ich nicht. Wobei GP5 Guitar Pro 5 ist und eigentlich ungefährlich sein sollte. Ich hab aber GP5 mal da hochgeladen und dabei kam dann das raus: Code: Die Datei wurde bereits analysiert:C:\System Volume Information\_restore{1A80B0DD-D8FE-425E-ADB0-A6C330120B05}\RP265\A0081500.dll und zwar mehrfach, wobei der hintere Teil "A0081500" variiert. C:\ComboFix\N_\26712 C:\WINDOWS\system32\dicpsapi.dll (der kommt mehrfach vor) Allerdings waren das jetzt die, die ich in Quarantäne verschoben hab. Ich hab jetzt nochmal n Durchlauf machen lassen von Antivir und da waren 5 Funde, die ich glöscht hab. Auszug aus dem Report: Code: Beginne mit der Suche in 'C:\' <System>Runtergeladen hab ich Antivir von der Herstellerseite (http://www.free-av.de/de/index.html) und dann als Downloadpartner Chip Online MfG |
Hallo Zitat:
Deaktiviere bitte die Systemwiederherstellung --> System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. Dann Antivir updaten und im abgesicherten Modus eine kompletten scan hinlegen, anschließend berichte bitte ob etwas gefunden wurde. MFG |
Und ein erneutes hallo Zitat:
Wie dem auch sein, das andere hab ich gemacht und im abgesicherten Modus wurde nix gefunden, nur eine Warnung: Code: Beginne mit der Suche in 'C:\' <System>Gruß Edit: Auch die Systemprüfung im normalen Modus ergab keine Funde. Heißt das jetzt ich bin befreit? |
Hallo Zitat:
Zitat:
Zitat:
Free Virus Scan - Kaspersky Lab und BitDefender Online Scanner - Free Online Virus Scan Poste bitte noch ein Hijackthis Log, es muss noch ein wenig was aufgeräumt werden. MFG |
So, Kaspersky Lab ergab keine Treffer. Bei BitDefender war ich mir nicht ganz sicher, wie ich das jetzt mach bzw. was ich da erst bestellen muss, um den Download starten zu können (*verwirrt*) Das ist dann noch das HijackThis Logergebnis: Code: Logfile of Trend Micro HijackThis v2.0.2 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board